SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

世界サイバーセキュリティ最前線

「現場が分からない司令部」、「一点豪華主義的な組織の対応」“失敗の本質”から考えるサイバーセキュリティの実態

■第ニ回

今年に入ってから、国内でのWebサイト改ざん事件の勢いが止まりません。一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)によると本年の前期半年の間に3千件を超える被害報告が寄せられています。もちろん実際に報告が来た数字だけですので、本当の被害規模は何倍にもなると想像されます。今回は、約70年前の大東亜戦争の時代の日本軍の組織のあり方を分析した名著「失敗の本質」をもとに、現代のサイバー上の脅威に対して、どのように組織が戦略を立てて対応しなければならないのか考えていきます。

危機的状況にあるサイバーセキュリティ、勢いが止まらないWebサイト改ざん被害

 各種メディアの報道にあるように、これらの被害を受けた法人は十分にセキュリティの投資ができない中小企業だけではありません。中には官公庁や世界的に名の知れた大企業も含まれております。

 『失敗の本質―日本軍の組織論的研究』、著:野中郁次郎ほか、中央公論社
『失敗の本質―日本軍の組織論的研究』
(著:戸部良一、寺本義也、鎌田伸一、
杉之尾孝生、村井友秀、野中郁次郎)中央公論社

 Webサイトが改ざんされるだけで事が終われば、まだ話が簡単なのですが、攻撃者はそのWebサイトを改ざんし、訪れた一般のユーザーがウイルスに感染するようWebサイトに細工を施すのです。何も知らないユーザーにとっては、たまったものではありません。決して自分から怪しい危険なサイトに訪れている訳ではありません。

 反対に世間的に名の知れた安全だと思われる企業、組織のWebサイトにアクセスするだけでウイルスに感染してしまい、最悪の場合、遠隔操作や情報漏えい等、二次被害に合ってしまうのです。まさに危機的状況だと思います。

 我々は、このような大きな問題に対して、どのような点を見直し、どのような対策をしなければならないのでしょうか?

 今回は約70年前の大東亜戦争の時代の日本軍の組織のあり方を分析した名著『失敗の本質』をもとに、現代のサイバー上の脅威に対して、どのように組織が戦略を立てて対応しなければならないのか考えてみたいと思います。

アンバランスな戦略――一点豪華主義的な対応をとる日本の企業、組織

 ご存じの通り、零戦が戦場に投入された当初は、その世界トップクラスの運動性能を存分に発揮し、まさに向かうところ敵なしの存在でした。あまりの優秀な性能に驚いた米軍では、零戦との1対1のドッグファイトを禁じるまででした。

 しかしその後、零戦がほぼ無傷の状態で米軍側に捕獲され徹底的に分析されると、その弱点が明らかになってしまい形勢が逆転してしまいました。その弱点とは何か、それは徹底的な軽量化のために犠牲にされた防弾性と剛性、非力なエンジン、そしてパイロットに高度な操縦技術を要求する点でした。

 現在、日本のサイバーセキュリティに関しても、同じことが言えます。抜本的なセキュリティ対策から目をそらし、一点豪華主義的な対応される企業、組織が多いと感じています。残念なことに世界の攻撃者の視点からすると、日本のこれらの企業や組織のシステムの弱点は明々白々です。

 日本では、ほとんどの場合工数のかかる端末やサーバーのセキュリティ対策は軽視され、一部分だけの投資で済むネットワークの部分に多大な投資を行います。運動性能を極限まで高めれば、防弾性は必要ないと割り切ってしまう思考と同じように思います。

 かたや米国の企業や官公庁では、端末やサーバーを最優先で強化するという考え方が広まっており、迅速なパッチ管理システム、ホスト型不正侵入防御システム、ホスト型ファイアウォール、デバイス制御、不正端末検知システム等の多層防御を実現するスイート製品の導入が進んでいます。守るべく情報資産は、所詮、端末やサーバーの中にある情報やデータ、だから最後の砦である端末やサーバーの対策に最優先で取り組むという考え方です。

次のページ
現場が分からない司令部

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
世界サイバーセキュリティ最前線連載記事一覧
この記事の著者

本橋 裕次(モトハシ ユウジ)

マカフィー株式会社サイバー戦略室 兼 グローバル・ガバメント・リレイションズ 室長ネットワーク、及び情報セキュリティの技術者として15年以上従事。 2009年、米セキュア・コンピューティング社の買収によりマカフィー社へ入社。 2010年、セールス・エンジニアリング本部のシニア・マネージャーの職務に就...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/5034 2013/08/22 07:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング